Untuk menjaga seluruh sumber daya mereka, baik yang bersifat virtual maupun fisik
agar aman dari ancaman baik dari dalam atau dari luar dan untuk mengurangi
kemungkinan kerusakan atau penghancuran serta menyediakan organisasi dengan
kemampuan untuk melanjutkan kegiatan operasional setelah terjadi gangguan.
KEAMANAN INFORMASI
Mengambarkan perlindungna baik peralatan komputer dan nonkomputer, fasilitas,data
dan informasi dari penyalahgunaan pihak-pihak yang tidak berwenang.
Tujuan Keamanan Informasi
a. Kerahasiaan. Perusahaan berusaha untuk melindungi data dan informasinya dari
pengungkapan orang-orang yang tidak berwenang.
b. Ketersediaan. Tujuan dari infrastruktur informasi perusahaan adalah menyediakan
data dan informasi bagi pihak-pihak yang memiliki wewenang untuk
menggunakannya.
c. Integritas. Semua sistem informasi harus memberikan representasi akurat atas
sistem fisik yang direpresentasikannya.
ANCAMAN
Ancaman Keamanan Informasi (Information Security Threat) merupakan orang,
organisasi, mekanisme, atau peristiwa yang memiliki potensi untuk membahayakan
sumber daya informasi perusahaan baik bersifat internal serta eksternal dan bersifat
disengaja dan tidak disengaja.
RISIKO
Risiko Keamanan Informasi (Information Security Risk) didefinisikan sebagai potensi
output yang tidak diharapkan dari pelanggaran keamanan informasi oleh Ancaman
keamanan informasi. Semua risiko mewakili tindakan yang tidak terotorisasi.
Risiko-risiko seperti ini dibagi menjadi empat jenis yaitu:
a. Pengungkapan Informsi yang tidak terotoritasis dan pencurian. Ketika suatu basis
data dan perpustakaan peranti lunak tersedia bagi orang-orang yang seharusnya tidak
memiliki akses, hasilnya adalah hilangnya informasi atau uang.
b. Penggunaan yang tidak terotorisasi. Penggunaan yang tidak terotorisasi terjadi
ketika orang-orang yang biasanya tidak berhak menggunakan sumber daya
perusahaan mampu melakukan hal tersebut.
c. Penghancuran yang tidak terotorisasi dan penolakan layanan. Seseorang dapat
merusak atau menghancurkan peranti keras atau peranti lunak, sehingga menyebabkan
operasional komputer perusahaan tersebut tidak berfungsi.
d. Modifikasi yang terotorisasi. Perubahan dapat dilakukan pada data, informasi, dan
peranti lunak perusahaan yang dapat berlangsung tanpa disadari dan menyebabkan
para pengguna output sistem tersebut mengambil keputusan yang salah.
PERSOALAN E-COMMERCE
E-Commerce memperkenalkan suatu permasalahan keamanan baru. Masalah ini
bukanlah perllindungan data, informasi, dan piranti lunak, tetapi perlindungan dari
pemalsuan kartu kredit.
Selain itu, visa mengidentifikasi 3 praktik umum yang harus diikuti oleh peritel dalam
mendapatkan keamanan informasi untuk semua aktivitas bukan hanya yang
berhubungan dengan e-commerce:
1. Menyaring karyawan yang memiliki akses terhadap data
2. Tidak meninggalkan data atau komputer dalam keadaan tidak aman
3. Menghancurkan data jika tidak dibutuhkan lagi
MANAJEMEN RISIKO (MANAGEMENT RISK)
Manajemen Risiko merupakan satu dari dua strategi untuk mencapai keamanan
informasi.Risiko dapat dikelola dengan cara mengendalikan atau menghilangkan
risiko atau mengurangi dampaknya. Pendefenisian risiko terdiri atas empat langkah :
1. Identifikasi aset-aset bisnis yang harus dilindungi dari risiko
2. Menyadari risikonya
3. Menentukan tingkatan dampak pada perusahaan jika risiko benar-benar terjadi
4. Menganalisis kelemahan perusahaan tersebut.
PENGENDALIAN
Pengendalian (control) adalah mekanisme yang diterapkan baik untuk melindungi
perusahaan dari resiko atau untuk meminimalkan dampak resiko tersebut pada
perusahaan jika resiko tersebut terjadi. Pengendalian dibagi menjadi tiga kategori,
yaitu :
1. PENGENDALIAN TEKNIS
Pengendalian teknis (technical control) adalah pengendalian yang menjadi satu
didalam system dan dibuat oleh para penyusun system selam masa siklus penyusunan
system.
1. Pengendalian Akses
Dasar untuk keamanan melawan ancaman yang dilakukan oleh orang-orang yang
tidak diotorisasi adalah pengendalian akses. Alasannya sederhana: Jika orang yang
tidak diotorisasi tidak diizinkan mendapatkan akses terhadap sumber daya informasi,
maka pengrusakan tidak dapat dilakukan.
3. Firewall
Firewall berfungsi sebagai penyaring dan penghalang yeng membatasi aliran data
dari perusahaan tersebut dan Internet. Konsep dibalik firewall adalah dibuatnya suatu
pengaman untuk semua komputer pada jaringan perusahaan dan bukannya pengaman
terpisah untuk masing-masing computer. Beberapa perusahaan yang menawarkan
peranti lunak antivirus (seperti McAfee di www.mcafee.com dan www.norton.com )
sekarang memberikan peranti lunak firewall tanpa biaya ekstra dengan pembelian
produk antivirus mereka.
4. Pengendalian Kriptografis
Pengendalian dengan cara memecah kata-kata atau informasi menjadi kode-kode
yunani.
5. Pengendalian Fisik
Pengendalian fisik yang terlihat. Contoh : CCTV, lampo sorot, pengawasan.
2. PENGENDALIAN FORMAL
Pengendalian formal mencakup penentuan cara berperilaku, dokumentasi prosedur
dan praktik yang diharapkan, dan pengawasan serta pencegahanperilaku yang berbeda
dari panduan yang berlaku. Pengendalian ini bersifat formal karena manajemen
menghabiskan banyak waktu untuk menyusunnya, mendokumentasikannya dalam
bentuk tulisan, dan diharapkan dapat berlaku dalam jangka panjang.
3. PENGENDALIAN INFORMAL
Pengendalian informal mencakup program-program pelatihan dan edukasi serta
program pembangunan manajemen. Pengendalian ini ditujukan untuk menjaga agar
para karyawan perusahaan memahami serta mendukung program keamanan tersebu